• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Крипт шеллкода meterpreter

b0d

Green Team
02.11.2019
35
64
BIT
0
Пытаюсь обойти дефендер.

Сделал билд по этой статье, выставил флаги и пожал упхом


Дефендер сам ехе не палит, но после запуска и коннекта на хендлер метасплоита дефендер просыпается и убивает процесс.
Орет что обнаружен метерпретер.
Получается, что реагирует он именно на шеллкод.
Вопрос, как бы его так криптануть чтобы дефендер успокоился.


Нашел как парни криптуют шеллкод, но ведь при раскриптовке это будет тот же самый шеллкод? Или такой криптовки достаточно?


У меня есть подозрение, что раз мой ехешник уже не палиться до запуска, то и нет смысла криптовать шеллкод, запал происходит во время его исполнения, а когла шеллкод исполняется он уже расшифрован.

Типа лишний маневр.

Вот здесь ребята с rapid7 про это пишут, мол с runtime и есть основная проблема.


Вопрос в том куда дальше копать?
Если я заморочусь на крипт шеллкода, то придется еще и декрипт прикрутить и возможно я получу то что уже имею, запал шеллкода в памяти.
Как можно видоизменить его в памяти?

Накопал hyperion, еще не пробовал, но это похоже на runtime криптор.

Может нужно вообще в другоую сторону копать?

Я рассуждаю так, что если запал идет самого шеллкода, то нужно лиьбо его видоизменить, либо обфуцировать, либо както накрыть.

Видоизменить шеллкод это слишком круто, подобрать иной можно, но я хочу именно meterpreter.
Остаеться только крипт рантайма и энкодинг шеллкода.
Боюсь, что энкодинг, опять же, не даст результата на уровне рантайма.

Все это происходит во время моего пентеста Подскажите вектор атаки по Windows 10
 

Tony

Green Team
21.09.2019
87
14
BIT
0
А нагрузка какая генерируется? staged или stageless? Возможно твой пейлоад палится во время подгрузки модулей метерпретер с листенера.
 

s unity

Green Team
18.09.2019
207
26
BIT
0
Пытаюсь обойти дефендер
это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.

веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
 

AlCat

Active member
30.10.2018
38
0
BIT
2
Когда дефендер убивает процесс на кали это выглядет так же?
 

b0d

Green Team
02.11.2019
35
64
BIT
0
Когда дефендер убивает процесс на кали это выглядет так же?
Не, там идет коннект на листенер и потом сразу оьрыв и метасплоит пишет чтл сессия died.
Это все происходит одновременно с алертом дефендера на машине гдетзапущен метер.

Veil evasion пробовал?
Да, скомпили все виды пэйлоадов под реверс. Везде запал.

это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.

веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
То что я наблюдал:
Ехе он шмонает точно, голый метерпретер палит сразу.
Бинари с криптованным метером или бинарь криптованный гиперионом он не палит.
При запуске таких бинарей, дефендер все равно палит метерпретер на моменте его запуска. Значит он смотрит процессы и память.

По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.

В Venom юзал разные энкодеры шеллкодов, но это все бесполезно.
Сами rapid7 писали, что нужно генерить криптованый пэйлоад и выставлять вывод в Си код. Тогда получешь исходник криптованного шеллкода и к нему можно написать свой лоадер.
Но это слишком жестко для меня, хотя и круто.
Но не факт, что в момент раскриптовки Ав не спалит сам шеллкод сразу в момент запуска.

Походу решил проблему неожиданным способом, скомпилил реверсшелл на golang, в нем есть фича запуска меиерпретер и запуска шеллкодов в base64

 

swagcat228

Заблокирован
19.12.2019
341
86
BIT
0
По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.
хм. а почему бы не общаться посредством обычных http(s) запросов на сервер?
 

f22

Codeby Academy
Gold Team
05.05.2019
1 939
226
BIT
1 763
хм. а почему бы не общаться посредством обычных http(s) запросов на сервер?
Проблема похоже не в сетевом взаимодействии, а в том, что сами вызовы системных функций палятся антивирусом.
 

micerec

Green Team
29.11.2019
38
1
BIT
0
можно чуть подробнее
Э. Таненбаум. Современные операционные системы 2 издание. Глава 9. страница 683. Книга старая, но полезная.
Если надо, могу попробовать прикрепить .pdf.
Еще попробуйте Э. Таненбаум. Компьютерные сети. 5 издание. Описание ARP, TCP, UDP, OSI, IPv4, DNS, Спутники - Iridium, Inmarsat. и все что надо для понимания сетей. IEEE 802.11 - все по порядку. Bluetooth и 5-G немного затрагиваются

Есть статья на этом ресурсе - там книги и в прочем есть ОЧЕНЬ полезные материалы.
Мне это очень помогло в свое время
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!